Freigeben über


Verwalten von Firewallregeln für Azure Database for MySQL – Flexible Server mit Azure CLI

Der flexible Azure Database for MySQL-Server unterstützt zwei sich gegenseitig ausschließende Netzwerkkonnektivitätsmethoden, mit denen eine Verbindung mit Ihrem flexiblen Server hergestellt werden kann. Die zwei Optionen sind:

  • Öffentlicher Zugriff (zugelassene IP-Adressen)
  • Privater Zugriff (VNET-Integration)

In diesem Artikel wird die Erstellung einer Instanz eines flexiblen Azure Database for MySQL-Servers mit der Option Öffentlicher Zugriff (zugelassene IP-Adressen) über die Azure CLI behandelt. Dieser Artikel ist eine Übersicht über die Azure CLI-Befehle, die Sie nach der Erstellung eines Servers verwenden können, um Firewallregeln zu erstellen, zu aktualisieren, zu löschen, aufzulisten oder anzuzeigen. Mit Öffentlicher Zugriff (zulässige IP-Adressen) werden die Verbindungen mit der Instanz eines flexiblen Azure Database for MySQL-Servers ausschließlich auf zulässige IP-Adressen beschränkt. Die Client-IP-Adressen müssen in den Firewallregeln zugelassen werden. Weitere Informationen finden Sie unter Öffentlicher Zugriff (zugelassene IP-Adressen). Die Firewallregeln können zum Zeitpunkt der Servererstellung definiert werden (empfohlen), jedoch können sie auch später hinzugefügt werden.

Starten von Azure Cloud Shell

Azure Cloud Shell ist eine kostenlose interaktive Shell, mit der Sie die Schritte in diesem Artikel durchführen können. Sie verfügt über allgemeine vorinstallierte Tools und ist für die Verwendung mit Ihrem Konto konfiguriert.

Wählen Sie zum Öffnen von Cloud Shell oben rechts in einem Codeblock einfach die Option Ausprobieren. Sie können Cloud Shell auch auf einer separaten Browserregisterkarte öffnen, indem Sie zu https://shell.azure.com/bash navigieren. Wählen Sie Kopieren aus, um die Codeblöcke zu kopieren. Fügen Sie die Blöcke anschließend in Cloud Shell ein, und wählen Sie Eingabe, um sie auszuführen.

Wenn Sie es vorziehen, die CLI lokal zu installieren und zu verwenden, müssen Sie für diesen Schnellstart mindestens Version 2.0 der Azure CLI verwenden. Führen Sie az --version aus, um die Version zu ermitteln. Informationen zum Durchführen einer Installation oder eines Upgrades finden Sie bei Bedarf unter Installieren der Azure CLI.

Voraussetzungen

Sie müssen sich mit dem Befehl az login bei Ihrem Konto anmelden. Beachten Sie die Eigenschaft ID, die auf die Abonnement-ID für Ihr Azure-Konto verweist.

az login

Wählen Sie mithilfe des Befehls az account set das Abonnement unter Ihrem Konto aus. Notieren Sie aus der Ausgabe von az login den Wert für ID, um ihn im Befehl als Wert für das Argument subscription zu verwenden. Wenn Sie über mehrere Abonnements verfügen, wählen Sie das entsprechende Abonnement aus, in dem die Ressource fakturiert sein sollte. Verwenden Sie az account list, um alle Abonnements abzurufen.

az account set --subscription <subscription id>

Erstellen einer Firewallregel während der Erstellung eines flexiblen Servers mithilfe der Azure CLI

Sie können den az mysql flexible-server --public access-Befehl zum Erstellen der Instanz eines flexiblen Azure Database for MySQL-Servers mit Öffentlicher Zugriff (zugelassene IP-Adressen) verwenden und die Firewallregeln während der Erstellung des Servers konfigurieren. Sie können die Option -public-access verwenden, um die zulässigen IP-Adressen bereitzustellen, mit denen eine Verbindung zum Server hergestellt werden kann. Sie können einen einzelnen IP-Adressbereich angeben, der in der Liste zulässiger IP-Adressen enthalten sein soll. Der IP-Adressbereich muss durch Bindestriche getrennt sein und darf keine Leerzeichen enthalten. Es gibt verschiedene Optionen zum Erstellen einer Instanz eines flexiblen Azure Database for MySQL-Servers mithilfe der Azure CLI, wie in den folgenden Beispielen gezeigt.

Die vollständige Liste von konfigurierbaren CLI-Parametern finden Sie in der Referenzdokumentation zur Azure CLI. In den folgenden Befehlen können Sie beispielsweise optional die Ressourcengruppe angeben.

  • Erstellen einer Instanz eines flexiblen Azure Database for MySQL-Servers mit öffentlichem Zugriff und Hinzufügen der Client-IP-Adresse für den Zugriff auf den Server:

    az mysql flexible-server create --public-access <my_client_ip>
    
  • Erstellen einer Instanz eines flexiblen Azure Database for MySQL-Servers mit öffentlichem Zugriff und Hinzufügen des IP-Adressbereichs für den Zugriff auf den Server:

    az mysql flexible-server create --public-access <start_ip_address-end_ip_address>
    
  • Erstellen einer Instanz eines flexiblen Azure Database for MySQL-Servers mit öffentlichem Zugriff und Zulassen, dass Anwendungen über Azure-IP-Adressen eine Verbindung mit dem Server herstellen:

    az mysql flexible-server create --public-access 0.0.0.0
    

    Wichtig

    Diese Option konfiguriert die Firewall zum Zulassen des öffentlichen Zugriffs über Azure-Dienste und -Ressourcen auf diesen Server, einschließlich Verbindungen aus Abonnements anderer Kunden. Wenn Sie diese Option auswählen, müssen Sie dafür sorgen, dass die Anmelde- und die Benutzerberechtigungen den Zugriff nur auf autorisierte Benutzer*innen beschränken.

  • Erstellen einer Instanz eines flexiblen Azure Database for MySQL-Servers mit öffentlichem Zugriff und Zulassen aller IP-Adressen:

    az mysql flexible-server create --public-access all
    

    Hinweis

    Mit dem obigen Befehl wird eine Firewallregel mit der Start-IP-Adresse „0.0.0.0“ und der End-IP-Adresse „255.255.255.255“ erstellt, d. h., es werden keine IP-Adressen blockiert. Jeder Host im Internet kann auf diesen Server zugreifen. Es wird dringend empfohlen, diese Regel nur vorübergehend und ausschließlich für Testserver zu verwenden, die keine vertraulichen Daten enthalten.

  • Erstellen einer Instanz eines flexiblen Azure Database for MySQL-Servers mit öffentlichem Zugriff und ohne IP-Adresse:

    az mysql flexible-server create --public-access none
    

    Hinweis

    Es wird davon abgeraten, einen Server ohne Firewallregeln zu erstellen. Wenn Sie keine Firewallregeln hinzufügen, kann kein Client eine Verbindung mit dem Server herstellen.

Erstellen und Verwalten von Firewallregeln nach der Servererstellung

Der Befehl az mysql flexible-server firewall-rule wird in der Azure CLI zum Erstellen, Löschen, Auflisten, Anzeigen und Aktualisieren von Firewallregeln verwendet.

Befehle:

  • create: Erstellen einer Firewallregel für flexible Azure Database for MySQL-Server
  • list: Auflisten der Firewallregeln für flexible Azure Database for MySQL-Server
  • update: Aktualisieren einer Firewallregel für flexible Azure Database for MySQL-Server
  • show: Anzeigen der Details einer Firewallregel für flexible Azure Database for MySQL-Server
  • delete: Löschen einer Firewallregel für flexible Azure Database for MySQL-Server

Die vollständige Liste von konfigurierbaren CLI-Parametern finden Sie in der Referenzdokumentation zur Azure CLI. In den folgenden Befehlen können Sie beispielsweise optional die Ressourcengruppe angeben.

Erstellen einer Firewallregel

Verwenden Sie den Befehl az mysql flexible-server firewall-rule create, um die neue Firewallregel für den Server zu erstellen. Geben Sie zum Zulassen eines IP-Adressbereichs die Start- und End-IP-Adressen wie im Beispiel an.

az mysql flexible-server firewall-rule create --resource-group testGroup --name mydemoserver --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.15

Zum Zulassen des Zugriffs für eine einzelne IP-Adresse geben Sie lediglich diese IP-Adresse an (wie im Beispiel).

az mysql flexible-server firewall-rule create --resource-group testGroup --name mydemoserver --start-ip-address 1.1.1.1

Um Anwendungen die Verbindung von Azure-IP-Adressen mit der Instanz eines flexiblen Azure Database for MySQL-Servers zu erlauben, geben Sie wie in diesem Beispiel die IP-Adresse 0.0.0.0 als Start-IP an.

az mysql flexible-server firewall-rule create --resource-group testGroup --name mydemoserver --start-ip-address 0.0.0.0

Wichtig

Diese Option konfiguriert die Firewall zum Zulassen des öffentlichen Zugriffs über Azure-Dienste und -Ressourcen auf diesen Server, einschließlich Verbindungen aus Abonnements anderer Kunden. Wenn Sie diese Option auswählen, stellen Sie sicher, dass die Anmelde- und die Benutzerberechtigungen den Zugriff nur auf autorisierte Benutzer beschränken.

Bei erfolgreicher Ausführung listet die Ausgabe jedes create-Befehls die Details der von Ihnen erstellten Firewallregel standardmäßig im JSON-Format auf. Falls ein Fehler auftritt, wird im Ergebnis stattdessen eine Fehlermeldung angezeigt.

Auflisten von Firewallregeln

Verwenden Sie den Befehl az mysql flexible-server firewall-rule list, um die vorhandenen Firewallregeln des Servers aufzulisten. Das Attribut für den Servernamen wird in der Option -name angegeben.

az mysql flexible-server firewall-rule list --name mydemoserver

Die Ausgabe listet die Regeln (sofern vorhanden) standardmäßig im JSON-Format auf. Sie können die Option -output table verwenden, um die Ergebnisse in einem besser lesbaren Tabellenformat auszugeben.

az mysql flexible-server firewall-rule list --name mydemoserver --output table

Aktualisieren einer Firewallregel

Verwenden Sie den Befehl az mysql flexible-server firewall-rule update, um eine vorhandene Firewallregel für den Server zu aktualisieren. Geben Sie den Namen der vorhandenen Firewallregel als Eingabe sowie die zu aktualisierenden Attribute für die Start- und End-IP-Adresse ein.

az mysql flexible-server firewall-rule update --name mydemoserver --rule-name FirewallRule1 --start-ip-address 13.83.152.0 --end-ip-address 13.83.152.1

Bei erfolgreicher Ausführung listet die Befehlsausgabe die Details der von Ihnen aktualisierten Firewallregel standardmäßig im JSON-Format auf. Falls ein Fehler auftritt, wird in der Ausgabe stattdessen eine Fehlermeldung angezeigt.

Hinweis

Falls die Firewallregel nicht vorhanden ist, wird sie vom update-Befehl erstellt.

Anzeigen der Details einer Firewallregel

Verwenden Sie den Befehl az mysql flexible-server firewall-rule show, um Details zu einer vorhandenen Firewallregel des Servers anzuzeigen. Geben Sie den Namen der vorhandenen Firewallregel als Eingabe an.

az mysql flexible-server firewall-rule show --name mydemoserver --rule-name FirewallRule1

Bei erfolgreicher Ausführung listet die Befehlsausgabe die Details der von Ihnen angegebenen Firewallregel standardmäßig im JSON-Format auf. Falls ein Fehler auftritt, wird in der Ausgabe stattdessen eine Fehlermeldung angezeigt.

Löschen einer Firewallregel

Verwenden Sie den Befehl az mysql flexible-server firewall-rule delete, um eine vorhandene Firewallregel für den Server zu löschen. Geben Sie den Namen der aktuellen Firewallregel an.

az mysql flexible-server firewall-rule delete --name mydemoserver --rule-name FirewallRule1

Bei erfolgreicher Ausführung wird keine Ausgabe angezeigt. Bei einem Fehler wird eine Fehlermeldung angezeigt.